Sicherheitszertifizierungen für SEP: Secure Key Store

Dieser Artikel enthält Referenzen für wichtige Produktzertifizierungen, kryptographische Validierungen und Sicherheitsempfehlungen für den Secure Enclave-Prozessor (SEP): Secure Key Store.

Zusätzlich zu den hier aufgeführten allgemeinen Zertifikaten wurden möglicherweise weitere Zertifikate ausgestellt, um die Erfüllung spezifischer Sicherheitsanforderungen für einige Märkte nachzuweisen. 

Wenn du Fragen hast, kontaktiere uns unter security-certifications@apple.com.

Secure Enclave-Prozessor

Der Secure Enclave-Prozessor ist ein Coprozessor innerhalb des System-On-Chip (SoC). Er verwendet verschlüsselten Speicher und enthält einen Hardwarezufallsgenerator. Die Secure Enclave stellt alle kryptografischen Operationen für die Schlüsselverwaltung des Datenschutzes bereit und erhält die Integrität des Datenschutzes aufrecht, auch wenn der Kernel kompromittiert wurde. Die Kommunikation zwischen der Secure Enclave und dem Anwendungsprozessor wird durch ein interruptgesteuertes Postfach und gemeinsame Speicherdatenpuffer isoliert.

Der Secure Enclave-Prozessor enthält ein eigenes Secure Enclave-BootROM. Ähnlich wie das Anwendungsprozessor-Boot-ROM ist das Secure Enclave-Boot-ROM ein unveränderlicher Code, der den Hardwarevertrauensanker für die Secure Enclave festlegt.

Der Secure Enclave-Prozessor betreibt ein Secure Enclave OS, das auf einer von Apple angepassten Version des L4-Mikrokerns basiert. Dieses Secure Enclave OS wird von Apple signiert, vom Secure Enclave-Boot-ROM verifiziert und durch ein personalisiertes Softwareupdateverfahren aktualisiert.

Beispiel für einige integrierte Dienste, die den hardwaregeschützten Secure Key Store nutzen:

  • Entsperren von Gerät oder Account (Passwort und Biometrie)
  • Hardwareverschlüsselung/Datenschutz/FileVault (Daten im Ruhezustand)
  • Sicheres Starten (Vertrauenswürdigkeit und Integrität von Firmware und OS)
  • Hardwaresteuerung der Kamera (FaceTime)

Die folgenden Dokumente können in Zusammenhang mit diesen Zertifizierungen und Validierungen hilfreich sein:

Informationen zu öffentlichen Zertifizierungen in Zusammenhang mit Internetdiensten von Apple findest du hier:

Informationen zu öffentlichen Zertifizierungen in Zusammenhang mit Anwendungen von Apple findest du hier:

Informationen zu öffentlichen Zertifizierungen in Zusammenhang mit Betriebssystemen von Apple findest du hier:

Informationen zu öffentlichen Zertifizierungen in Zusammenhang mit Hardware und zugehörigen Firmware-Komponenten findest du hier:

Validierungen kryptografischer Module

Alle Apple FIPS 140-2/-3 Conformance Validation Certificates findest du auf der CMVP-Website. Apple beteiligt sich aktiv an der Validierung der CoreCrypto User- und CoreCrypto Kernel-Module für jedes größere Update der Betriebssysteme. Die Validierung findet grundsätzlich an der abschließenden Modulversion, die zur Veröffentlichung bestimmt ist, statt und wird offiziell eingereicht, bevor eine neue Version des Betriebssystems veröffentlicht wird. Informationen zu diesen Validierungen findest du auf der entsprechenden Betriebssystemseite.

Das Hardware Cryptographic Module – Apple SEP Secure Key Store Cryptographic Module – ist im Apple System-On-Chip (SoC) A für iPhone und iPad, S für Apple Watch Series und T für den T Security Chip eingebettet, der in Mac-Systemen ab dem 2017 eingeführten iMac Pro verbaut ist.

Apple wird FIPS 140-2/-3 Level 3 für das SEP Secure Key Store Cryptographic Module für zukünftige Betriebssysteme und Geräte anwenden. 

Im Jahr 2019 hat Apple das Hardwaremodul anhand der Anforderungen von FIPS 140-2 Level 2 validiert und die Modulversionskennung auf v9.0 aktualisiert, um es mit den Versionen der entsprechenden Validierungen von CoreCrypto User-Modulen und CoreCrypto Kernel-Modulen zu synchronisieren. Im Jahr 2019: iOS 12, tvOS 12, watchOS 5 und macOS Mojave 10.14.

Im Jahr 2018 wurde die Synchronisierung mit Validierung der kryptografischen Softwaremodule mit den 2017 veröffentlichten Betriebssystemen iOS 11, tvOS 11, watchOS 4 und macOS Sierra 10.13 durchgeführt. Das als Apple SEP Secure Key Store Cryptographic Module v1.0 identifizierte kryptografische Hardwaremodul wurde zuvor auf Erfüllung der Anforderungen gemäß FIPS 140-2 Level 1 geprüft.

Alle Apple FIPS 140-2/-3 Conformance Validation Certificates findest du auf der CMVP-Website. Apple beteiligt sich aktiv an der Validierung der CoreCrypto User- und CoreCrypto Kernel-Module für jedes größere Update eines Betriebssystems. Die Validierung der Einhaltung findet grundsätzlich an der abschließenden Modulversion statt, die zur Veröffentlichung bestimmt ist, und wird offiziell eingereicht, bevor eine neue Version des Betriebssystems veröffentlicht wird. 

Das CMVP verwaltet den Validierungsstatus kryptografischer Module in Abhängigkeit ihres aktuellen Status in vier separaten Listen. Die Module erscheinen vielleicht zunächst in der Implementation Under Test List und werden dann in die Modules in Process List übertragen. Nach der Validierung erscheinen sie auf der Validated Cryptographic Modules List und werden fünf Jahre später in die Historical List überführt.

Im Jahr 2020 übernimmt das CMVP die internationale Norm ISO/IEC 19790 als Grundlage für FIPS 140-3.

Weitere Informationen zu FIPS 140-2/-3-Validierungen findest du unter Sicherheit der Apple-Plattformen.

Entsprechende(s) Plattform/Betriebssystem CMVP-Zertifikatsnummer Modulname Modultyp SL Validierungsdatum Dokumente
Weitere Informationen zu derzeit getesteten/validierten Modulen findest du in der Implementation Under Test List und der Modules in Process List.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module v9.0
(sepOS)
HW 2 10.09.2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module v1.0
(sepOS)
HW 1 10.07.2018

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: